牛淑芬,張美玲,周思瑋,閆 森

(西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，甘肅 蘭州 730070)

1 引言

隨著云計(jì)算[1]的發(fā)展和輕量級(jí)設(shè)備的出現(xiàn)，大多數(shù)個(gè)人和企業(yè)選擇將數(shù)據(jù)存儲(chǔ)到云服務(wù)器上以便管理。由于云服務(wù)器不完全可信，存儲(chǔ)在云上的數(shù)據(jù)存在被攻擊或隱私泄露的風(fēng)險(xiǎn)，因此在將數(shù)據(jù)存儲(chǔ)到云服務(wù)器上之前必需先加密。在查找數(shù)據(jù)時(shí)，需先從云服務(wù)器上將需要的數(shù)據(jù)下載到本地再解密，這樣的數(shù)據(jù)使用方式會(huì)耗費(fèi)大量的網(wǎng)絡(luò)帶寬，并且搜索效率低下。

為了提高密文檢索的效率，Song等人[2]首次提出對(duì)稱可搜索加密SSE(Symmetric Search Encryption)方案。該方案通信量低，但計(jì)算開銷隨著查詢規(guī)模增大而增大。為了解決這個(gè)問題，Boneh等人[3]提出了帶關(guān)鍵詞搜索的公鑰加密方案PEKS (Public key Encryption with Keyword Search)。數(shù)據(jù)擁有者用公鑰加密數(shù)據(jù)并上傳到云服務(wù)器，僅對(duì)應(yīng)的私鑰生成陷門上傳到云服務(wù)器才能搜索加密數(shù)據(jù)。近年來(lái)，可搜索加密已成為研究熱點(diǎn)[4 - 7]，可搜索加密SE(Searchable Encrption)具有許多搜索特征，如單/多關(guān)鍵詞可搜索、模糊關(guān)鍵詞搜索、可驗(yàn)證關(guān)鍵詞搜索、排序關(guān)鍵詞搜索等。由于單關(guān)鍵詞檢索的缺陷，Golle等人[8]首次提出了多關(guān)鍵詞搜索方案，但關(guān)鍵詞陷門大小隨著加密文檔數(shù)量增加而增加。Wu等人[9]為了加強(qiáng)對(duì)用戶的訪問控制，提出了一種高效的支持多用戶訪問控制MMSE(Multi-keyword Searchable Encryption supporting Multi-user access control)的多關(guān)鍵詞可搜索加密方案。

隨著科技的高速發(fā)展，移動(dòng)終端(如智能手機(jī)、平板、無(wú)線可穿戴設(shè)備等)基本全面覆蓋了生活，由于有限的計(jì)算資源、存儲(chǔ)空間、通信帶寬及電池容量等的限制，數(shù)據(jù)交互的效率較低。將云計(jì)算與其結(jié)合，通過移動(dòng)云存儲(chǔ)，移動(dòng)終端用戶將數(shù)據(jù)存儲(chǔ)在云服務(wù)器上并且可以便捷地共享數(shù)據(jù)。為防止云服務(wù)器上的隱私數(shù)據(jù)被惡意竊取和攻擊，數(shù)據(jù)擁有者通常在將數(shù)據(jù)存儲(chǔ)到云服務(wù)器上之前會(huì)對(duì)其加密。傳統(tǒng)的加密方法能夠保證數(shù)據(jù)的安全性，但不能夠?qū)?shù)據(jù)進(jìn)行靈活的訪問控制。Sahai等人[10]首次提出了屬性基加密ABE (Attributed-Based Encryption)方案，同時(shí)實(shí)現(xiàn)了數(shù)據(jù)的安全性和靈活訪問控制[11,12]。用戶的屬性隨著系統(tǒng)用戶變化而變化，為了撤銷無(wú)關(guān)屬性，傳統(tǒng)的屬性撤銷機(jī)制通過重加密用戶的密鑰來(lái)實(shí)現(xiàn)用戶屬性的更新[13 - 15]。Wang等人[16]提出了一種多數(shù)據(jù)所有者可撤銷和可搜索的屬性基加密方案，使用相同的訪問策略加密索引和消息。由于云服務(wù)器誠(chéng)實(shí)且好奇的特點(diǎn)，對(duì)云服務(wù)器返回的數(shù)據(jù)進(jìn)行驗(yàn)證是很有必要的。文獻(xiàn)[17,18]提出了支持多關(guān)鍵詞可搜索且可驗(yàn)證的屬性基加密方案，文獻(xiàn)[17]不支持用戶可變屬性的更新，文獻(xiàn)[18]實(shí)現(xiàn)的細(xì)粒度訪問控制保證了數(shù)據(jù)的私密性，支持用戶的屬性撤銷。Sun等人[19]提出了云存儲(chǔ)中數(shù)據(jù)可驗(yàn)證的屬性基多關(guān)鍵詞可搜索方案，允許數(shù)據(jù)用戶對(duì)云服務(wù)器的搜索結(jié)果進(jìn)行正確性驗(yàn)證，同時(shí)支持?jǐn)?shù)據(jù)用戶屬性撤銷與更新。

現(xiàn)有的大多數(shù)方案中，數(shù)據(jù)搜索結(jié)果是由云服務(wù)器返回的，由于它不完全可信，可能會(huì)獲得偽造或篡改后的數(shù)據(jù)。用戶收到搜索結(jié)果后需要對(duì)密文數(shù)據(jù)進(jìn)行驗(yàn)證和解密，這極大地增加了用戶的計(jì)算量。此外，系統(tǒng)中用戶屬性隨時(shí)會(huì)發(fā)生變化，應(yīng)及時(shí)對(duì)用戶過期的屬性進(jìn)行更新。因此，針對(duì)上述問題，本文提出了面向移動(dòng)終端的密文可驗(yàn)證屬性基可搜索加密方案，數(shù)據(jù)屬主將加密后的密文數(shù)據(jù)和代表身份的簽名一起存儲(chǔ)至云服務(wù)器；移動(dòng)終端用戶生成搜索陷門上傳到云服務(wù)器后，由云服務(wù)器進(jìn)行檢索；引入一個(gè)可信第三方，由其驗(yàn)證云服務(wù)器返回的搜索結(jié)果的正確性和完整性；可信第三方使用移動(dòng)終端用戶盲化后的私鑰，進(jìn)行部分解密工作。為了更好地管理用戶屬性，使用屬性撤銷方法，在不影響用戶的前提下，更新已發(fā)生變化的用戶屬性及其相關(guān)的密鑰和密文。

2 預(yù)備知識(shí)

2.1 雙線性映射

設(shè)p是一個(gè)大素?cái)?shù)，G1和G2是2個(gè)階為p的群。g是群G1的一個(gè)生成元，定義一個(gè)雙線性映射e:G1×G1→G2,雙線性映射滿足下面的性質(zhì)：(1)雙線性。對(duì)于任意的a,b∈Zp,有e(ga,gb)=e(g,g)ab。(2)非退化性。e(g,g)≠1。(3)可計(jì)算性。G存在一個(gè)有效算法計(jì)算e(g,g)。

2.2 訪問結(jié)構(gòu)

令P={P1,P2,…,Pn}是一個(gè)n元集合。對(duì)于任意集合B，C，如果B∈AJ且B?C，則C∈AJ，那么本文稱集合AJ?2P是單調(diào)的。如果集合AJ是2P的一個(gè)非空子集，那么AJ是一個(gè)訪問結(jié)構(gòu)。包含在集合AJ中的子集稱為AJ的授權(quán)集合，反之稱為AJ的非授權(quán)集合。

2.3 線性秘密共享方案LSSS(Linear Secret- Sharing Scheme)

設(shè)(Μ,ρ)表示訪問策略A，其中，Μ是l行n列的秘密生成矩陣。對(duì)于1≤i≤l，ρ(i)是映射Μ的第i行的映射函數(shù)，代表不同的屬性。線性秘密共享滿足下面的條件：

(1)令s∈Zp為一個(gè)秘密值，隨機(jī)選擇r2,…,rn∈Zp，列向量v=(s,r2,…,rn)，然后計(jì)算λi=(M·v)i，其中λi是屬性ρ(i)的子秘密值。

(2)令S∈A為授權(quán)集合，定義I={i:ρ(i)∈S}，I?{1,2,…,l}。存在{ωi∈Zp}i∈I滿足∑i∈IωiΜi=(1,0,…,0)。其中Mi表示M中第i行的向量。由∑i∈Iωiλi=s恢復(fù)秘密值，可以在多項(xiàng)式時(shí)間內(nèi)找到這些常數(shù){ωi}。

2.4 通用雙線性群

2.5 困難問題假設(shè)

判定性并行雙線性指數(shù)假設(shè)q-BDHE(q- parallel Bilinear Diffie-HEllman)：是指不存在多項(xiàng)式時(shí)間的算法以不可忽略的優(yōu)勢(shì)判定R=e(g,g)aq+1s是否成立。

隨機(jī)選取a,s,b1,…,bq∈Zp，g是G的生成元。給出如式(1)所示的y:

y=(g,gs,ga,…,gaq,gaq+2,…,ga2q,

?1≤j≤qgsbj,ga/bj,…,gaq/bj,gaq+2/bj,…,ga2q/bj,

?1≤k,j≤q,k≠jgasbk/bj,…,gaqsbk/bj)

(1)

很難從一個(gè)隨機(jī)元素R∈GT中區(qū)分出一個(gè)有效元組e(g,g)aq+1s∈GT。算法B返回z∈{0,1}，在群G上若|Pr[B(y,e(g,g)aq+1s)=0]-Pr[B(y,R)]|≥ε，則能以優(yōu)勢(shì)ε解決q-BDHE困難問題。

3 系統(tǒng)模型和安全模型

3.1 系統(tǒng)模型

本文方案包括5個(gè)實(shí)體，即云服務(wù)器CS(Cloud Server)、可信第三方TTP(Trusted Third Party)、屬性授權(quán)中心AA(Attributed Authority)、數(shù)據(jù)屬主DO(Data Owners)和移動(dòng)終端用戶DU(Data Users)。系統(tǒng)模型如圖1所示。

Figure 1 System model圖1 系統(tǒng)模型

(1)云服務(wù)器。負(fù)責(zé)數(shù)據(jù)存儲(chǔ)與計(jì)算;執(zhí)行陷門與密文匹配操作，若匹配成功，則返回正確密文給可信第三方；屬性撤銷階段更新相應(yīng)的密文。

(2)可信第三方。驗(yàn)證云服務(wù)器返回的密文結(jié)果是否完全正確。

(3)屬性授權(quán)中心。是完全可信實(shí)體，負(fù)責(zé)系統(tǒng)的初始化、數(shù)據(jù)用戶的注冊(cè)及動(dòng)態(tài)屬性撤銷。

(4)數(shù)據(jù)屬主。從文件中提取關(guān)鍵詞，生成關(guān)鍵詞索引并且使用對(duì)稱密鑰加密文件。同時(shí)，使用自己定義的訪問控制策略加密對(duì)稱密鑰，最后將所有密文上傳至云服務(wù)器。

(5)移動(dòng)終端用戶。使用私鑰生成陷門上傳至云服務(wù)器然后搜索密文。收到可信第三方發(fā)送的密文，且用戶屬性滿足訪問策略，則解密密文。

3.2 方案形式化定義

本文方案包括7個(gè)階段：系統(tǒng)建立、密鑰生成、數(shù)據(jù)加密、關(guān)鍵詞搜索、密文驗(yàn)證、密文解密和屬性撤銷。表1給出了本文中部分符號(hào)的描述。

Table 1 Symbols description

(1)系統(tǒng)建立，Setup(1K)→(PK,MK)：該算法由屬性授權(quán)中心執(zhí)行。給定安全參數(shù)K，輸出系統(tǒng)公共參數(shù)par、系統(tǒng)公鑰PK和主密鑰MK。

(2)密鑰生成,KeyGen(MK,Suid)→{SKu,(pko,sko)}：該算法由屬性授權(quán)中心執(zhí)行。輸入主密鑰MK和數(shù)據(jù)用戶的屬性集Suid，輸出移動(dòng)終端用戶的私鑰SKu和數(shù)據(jù)屬主的公私鑰對(duì)(pko,sko)。

(3)數(shù)據(jù)加密:該算法由數(shù)據(jù)屬主執(zhí)行。首先，執(zhí)行索引生成算法IndexGen(PK,W)→IW：輸入系統(tǒng)公鑰PK和關(guān)鍵詞集W，輸出關(guān)鍵詞的索引IW；其次，執(zhí)行加密算法Encrypt(PK,kθ,(M,ρ))→CT：輸入系統(tǒng)公鑰PK、對(duì)稱密鑰kθ和訪問策略(M,ρ)，輸出密文集合CT，根據(jù)文件的身份生成簽名sigθ。

(4)關(guān)鍵詞搜索。首先，用戶執(zhí)行陷門生成算法Trapdoor(PK,W′,SKu)→TW′：輸入PK，搜索關(guān)鍵詞集W′和私鑰SKu，生成搜索陷門TW′;其次，云服務(wù)器執(zhí)行搜索算法Search(TW′,IW)：輸入陷門TW′和索引IW，驗(yàn)證它們是否匹配。若匹配，則將搜索結(jié)果發(fā)送給可信第三方,否則終止算法。

(5)密文驗(yàn)證,Verify(sigθ,Cθ,PK,pko)：該算法由可信第三方執(zhí)行。收到云服務(wù)器返回的密文后，可信第三方與云服務(wù)器交互驗(yàn)證密文的正確性。驗(yàn)證通過，可信第三方對(duì)密文進(jìn)行部分解密，并將解密后的密文發(fā)送給用戶。

(6)密文解密。若驗(yàn)證通過，用戶向可信第三方發(fā)送盲化密鑰BSKu，可信第三方執(zhí)行解密算法Decrypt(BSKu,CT′,Cθ)：輸入盲化密鑰和密文，計(jì)算A=e(g,g)atzs，根據(jù)盲化的密鑰Dz和密文C1再計(jì)算T=e(Dz,C1)。將(A,T)發(fā)送給移動(dòng)終端用戶，用戶計(jì)算得到對(duì)稱密鑰kθ。

(7)屬性撤銷。可信第三方執(zhí)行屬性密鑰更新算法，輸入撤銷屬性x′，利用屬性更新密鑰AUKx′更新屬性公鑰PAK；移動(dòng)終端用戶執(zhí)行私鑰更新算法，輸入私鑰SKu和屬性更新密鑰AUKx′，對(duì)已變屬性的私鑰進(jìn)行更新；密文更新算法由云服務(wù)器執(zhí)行，輸入撤銷屬性x′和屬性更新密鑰AUKx′，對(duì)已變屬性的密文進(jìn)行相應(yīng)更新。

3.3 安全模型

本文通過在敵手A和挑戰(zhàn)者B之間定義2個(gè)安全游戲證明方案的安全性。

(1)游戲Ⅰ:IND-CKA。

初始階段：挑戰(zhàn)者C執(zhí)行系統(tǒng)建立算法Setup(1K)生成系統(tǒng)公鑰PK和主密鑰MK，并將PK發(fā)送給A，自己保存MK。

階段1A可以對(duì)以下詢問進(jìn)行多項(xiàng)式次數(shù)的查詢。C令LW為初值是空值的關(guān)鍵詞集合。

KeyGen Oracle：輸入系統(tǒng)公鑰PK和主密鑰MK，挑戰(zhàn)者C執(zhí)行密鑰生成算法KeyGen，將私鑰SKu發(fā)送給敵手A。

Trapdoor Oracle：輸入系統(tǒng)公鑰PK、私鑰SKu和詢問關(guān)鍵詞集合W*，挑戰(zhàn)者C執(zhí)行陷門生成算法Trapdoor，將陷門TW*發(fā)送給敵手A。

挑戰(zhàn)：敵手A發(fā)送等長(zhǎng)的2條消息m0和m1給挑戰(zhàn)者C，m0和m1之前未被詢問過。挑戰(zhàn)者C隨機(jī)選擇b∈{0,1}，生成關(guān)鍵詞集合Wb的索引IWb，并將其發(fā)送給敵手A。敵手A不能從陷門詢問中得到任何關(guān)于消息m0和m1的信息。

階段2與階段1詢問方式相同。詢問過的消息m0和m1不能被重復(fù)詢問。

猜測(cè)：敵手A生成一個(gè)猜測(cè)b′∈{0,1}，若b′=b，則敵手A贏得游戲Ⅰ。

(2)游戲Ⅱ：IND-sCP-CPA。

初始階段：A選擇一個(gè)訪問結(jié)構(gòu)A*，C執(zhí)行系統(tǒng)建立算法Setup(1K)生成系統(tǒng)公鑰PK和主密鑰MK，并將PK發(fā)送給A，自己保存MK。

階段1此階段敵手A可以對(duì)以下詢問進(jìn)行多項(xiàng)式次數(shù)的查詢。

KeyGen Oracle：敵手A提交元組(uid,Suid)對(duì)私鑰SKu進(jìn)行查詢，其中屬性集Suid與訪問結(jié)構(gòu)A*不匹配。

RePAKOracle：給定任意一個(gè)屬性x′，敵手A能夠?qū)傩愿旅荑€AUKx′進(jìn)行查詢。

挑戰(zhàn)：敵手A發(fā)送等長(zhǎng)的2條消息kθ0和kθ1給挑戰(zhàn)者C。C隨機(jī)選擇b∈{0,1}，利用訪問結(jié)構(gòu)A*加密kθb，最后將密文CT′*發(fā)送給敵手A。

階段2與階段1詢問方式相同。

猜測(cè)：敵手A生成一個(gè)猜測(cè)b′∈{0,1}，若b′=b，則敵手A贏得游戲Ⅱ。

4 具體方案

4.1 具體方案

面向移動(dòng)終端的密文可驗(yàn)證屬性基可搜索加密方案具體如下所示：

階段1系統(tǒng)初始化。

階段2密鑰生成。

階段3數(shù)據(jù)加密。

(2)DO使用對(duì)稱密鑰kθ加密文件Fθ，得到加密文件Cθ=Enckθ(Fθ)。Encrypt(PK,kθ,(Μ,ρ))→CT：輸入PK、kθ和訪問策略(Μ,ρ)，Μ是l×n的矩陣，函數(shù)ρ映射Μ中每一行不同的屬性。選擇隨機(jī)值y2,…,yn∈Zp，令向量v=(s,y2,…,yn)。通過λi=Μi·v(1≤i≤l)可以計(jì)算出秘密值s，Μi表示Μ中第i行的向量。算法隨機(jī)選擇r1,…,rl∈Zp，計(jì)算密文,如式(2)所示:

CT′={(Μ,ρ),C0=kθ·e(g,g)βs,C1=gs,

?i∈1,…,l:C2i=gaλi·H(ρ(i))ri,

C3i=(gvρ(i))ri}

(2)

階段4關(guān)鍵詞搜索。

(2)Search(TW′,IW):CS收到來(lái)自DU的搜索陷門TW′后，通過驗(yàn)證如式(3)所示的等式判斷關(guān)鍵詞索引IW與搜索陷門TW′是否匹配：

(3)

若匹配成功，CS將密文CT=(IW,Cθ,CT′)發(fā)送給TTP；否則，算法終止。

階段5密文驗(yàn)證。

階段6密文解密。

(gβz·gatz,gtz,gaαz,H(x)tz/vx)

(4)

階段7屬性撤銷。

當(dāng)數(shù)據(jù)用戶要撤銷屬性x′時(shí)，AA將移動(dòng)終端用戶的身份加入屬性撤銷列表RLx′中。

(2)ReKey(SKu,AUKx′)→SK′u：由DU執(zhí)行該算法，輸入SKu和AUKx′，計(jì)算更新后的私鑰,如式(5)所示:

(5)

4.2 正確性證明

(1)搜索階段。

(2)驗(yàn)證階段。

e(ξ,g)

(3)解密階段。

e(g,g)atzs

T=e(gβz·gatz,gs)=e(gβz,gs)e(gatz,gs)=

e(g,g)βzse(g,g)atzs

kθ=Kz-1

5 安全性證明

定理1給定一個(gè)單向哈希函數(shù)H1，在通用雙線性群模型下，本文方案是抵抗不可區(qū)分的選擇關(guān)鍵詞攻擊IND-CKA。

證明敵手A在不可區(qū)分選擇關(guān)鍵詞攻擊游戲中要區(qū)分ga(σ+τθ)gσH1(W0)和ga(σ+τθ)gσH1(W1)。輸入f∈Zp，A能夠區(qū)分gf和ga(σ+τθ)gσH1(W0)的優(yōu)勢(shì)等同于區(qū)分gf和ga(σ+τθ)gσH1(W1)的優(yōu)勢(shì)。本文假設(shè)A能夠區(qū)分gf和ga(σ+τθ)，游戲描述如下:

階段1A進(jìn)行私鑰和陷門詢問。

KeyGen Oracle：C計(jì)算D″=gaα，PK=(g,ga,gα)，并將D″發(fā)送給A。

階段2與階段1相同，已被詢問過的關(guān)鍵詞集合W0和W1不再進(jìn)行陷門詢問。如果A根據(jù)gh′詢問返回的信息可以構(gòu)造gh′a(σ+τθ)，就可以區(qū)分gf和ga(σ+τθ)。本文還需要證明A在不可區(qū)分的選擇關(guān)鍵詞攻擊游戲中以不可忽略的優(yōu)勢(shì)不能區(qū)分gh′和e(g,g)h′a(σ+τθ)。因?yàn)橹荒軓摩力抑蝎@得σ,要想得到e(g,g)h′a(σ+τθ)，h′中應(yīng)該含有α。然而，α只有C擁有，所以A任何時(shí)候都不能得到e(g,g)h′a(σ+τθ)。從而證明A不能區(qū)分gf和ga(σ+τθ)，即不能區(qū)分ga(σ+τθ)·gσH1(W0)和ga(σ+τθ)·gσH1(W1)，也就是A不能以一個(gè)不可忽略的優(yōu)勢(shì)攻破不可區(qū)分的選擇關(guān)鍵詞攻擊游戲。

□

定理2若q-BDHE假設(shè)成立，則本文方案抵抗選擇性不可區(qū)分的密文策略和選擇明文攻擊IND-sCP-CPA。

證明假設(shè)敵手A能夠在選擇的安全模型下以不可忽略的優(yōu)勢(shì)ε攻擊本文方案，令模擬器B以不可忽略的優(yōu)勢(shì)ε/2解決q-BDHE問題。挑戰(zhàn)者C選擇生成元為g的群G1，雙線性映射e:G1×G1→GT。C隨機(jī)選取a,s,b1,…,bq∈Zp，令y如式(6)所示:

y=(g,gs,ga,…,gaq,gaq+2,…,ga2q,

?1≤j≤qgsbj,ga/bj,…,gaq/bj,gaq+2/bj,…,ga2q/bj,

?1≤k,j≤q,k≠jgasbk/bj,…,gaqsbk/bj)

(6)

隨機(jī)選取μ∈{0,1}，若μ=0，C令T=e(g,g)aq+1s;若μ=1，則C選擇群GT中的一個(gè)隨機(jī)元素T。

初始化：B收到q-BDHE的挑戰(zhàn)信息(y,T)后，A產(chǎn)生一個(gè)挑戰(zhàn)訪問結(jié)構(gòu)(Μ*,ρ*)，Μ*是l*×n*的矩陣。

階段1B設(shè)置列表LSKu為三元組(uid,Suid,SKu)，初始值為空。A在多項(xiàng)式時(shí)間內(nèi)可以進(jìn)行以下詢問：

t=r+η1aq+η2aq-1+…+ηn*aq+1-n*

(7)

H(x)t/vx

(8)

最后，B將私鑰SKu={D,D′,{Dx}x∈Suid}加入列表LSKu并發(fā)送給A。

(9)

(10)

階段2與階段1的詢問方式相同。

猜測(cè)：A輸出一個(gè)猜測(cè)b′∈{0,1},若b′=b，則B返回ν′=0，T=e(g,g)aq+1s；否則，B返回ν′=1，T為群GT中的一個(gè)隨機(jī)元素。該游戲中A定義的優(yōu)勢(shì)為ε。如果ν=0，A將會(huì)獲得一個(gè)有效密文，則Pr[b′=b|ν=0]=0.5+ε。因?yàn)楫?dāng)b′=b時(shí)，B返回ν′=0，則有Pr[ν′=ν|ν=0]=0.5+ε。如果ν=1時(shí)，A無(wú)法得到關(guān)于b的有效信息，則有Pr[b′=b|ν=1]=0.5。當(dāng)b′≠b時(shí)，B返回ν′=1時(shí)，則有Pr[ν′=ν|ν=1]=0.5。因此，B解決判定性假設(shè)q-BDHE問題的優(yōu)勢(shì)為：

□

6 性能分析

6.1 功能特性比較

表2將本文方案與文獻(xiàn)[17，18]方案進(jìn)行了對(duì)比，其中主要有訪問控制樹和線性秘密共享2種訪問策略。表2表明，本文方案在功能特性上具有一定優(yōu)勢(shì)。

Table 2 Function comparison

6.2 計(jì)算量比較

本節(jié)從理論角度分析了本文方案與文獻(xiàn)[17，18]方案在計(jì)算開銷方面的優(yōu)勢(shì)。首先設(shè)雙線性映射配對(duì)時(shí)間為Tp，指數(shù)運(yùn)算時(shí)間為Te，乘法運(yùn)算時(shí)間為Tm，哈希函數(shù)運(yùn)算時(shí)間為Th。在表3和表4中，|Au|表示用戶的屬性集合，|Xf|表示訪問樹的葉子節(jié)點(diǎn)集合，|W|表示文件的關(guān)鍵詞集合，|M|表示滿足訪問策略的最小屬性集。由表3可以看出，在密文生成階段，由于文獻(xiàn)[18]有多個(gè)配對(duì)運(yùn)算，故本階段各方案計(jì)算量由大到小依次為文獻(xiàn)[18]方案、本文方案和文獻(xiàn)[17]方案;在陷門生成階段，本文方案無(wú)配對(duì)運(yùn)算，且指數(shù)運(yùn)算和乘法運(yùn)算都少于文獻(xiàn)[17，18]的，故在本階段本文方案的計(jì)算效率最優(yōu)；在搜索階段，文獻(xiàn)[17]方案的配對(duì)運(yùn)算遠(yuǎn)遠(yuǎn)大于文獻(xiàn)[18]方案與本文方案的，而文獻(xiàn)[18]方案無(wú)配對(duì)運(yùn)算，本階段各方案計(jì)算量由大到小依次為文獻(xiàn)[17]方案、本文方案和文獻(xiàn)[18]方案;在解密階段，文獻(xiàn)[17]方案對(duì)結(jié)果驗(yàn)證成功后，沒有敘述數(shù)據(jù)用戶具體對(duì)搜索結(jié)果的解密步驟，所以在解密階段對(duì)其計(jì)算量和通信量不進(jìn)行對(duì)比,本文方案只有少量的乘法運(yùn)算和指數(shù)運(yùn)算，文獻(xiàn)[18]方案有多個(gè)乘法運(yùn)算、哈希運(yùn)算和1個(gè)指數(shù)運(yùn)算，所以在本階段本文方案的計(jì)算效率較高。

6.3 通信量比較

本節(jié)從理論角度分析本文方案與文獻(xiàn)[17，18]方案在通信量開銷方面的優(yōu)勢(shì)。表4中|G1|、|GT|和|Zp|分別表示G1、GT和Zp中元素的長(zhǎng)度。

Table 3 Computation comparison表3 計(jì)算量比較

Table 4 Storage comparison表4 通信量比較

Figure 2 Comparison of algorithm running time圖2 算法運(yùn)行時(shí)間比較

由表4可以看出，在系統(tǒng)化初始階段，文獻(xiàn)[17]方案與本文方案通信量幾乎相同，文獻(xiàn)[18]方案的較高;在密鑰生成階段，隨著屬性個(gè)數(shù)的增加，每個(gè)方案的通信量都有一定的增長(zhǎng)，本文方案的效率高于文獻(xiàn)[17，18]方案的;在密文生成階段，各方案通信量由大到小依次為文獻(xiàn)[18]方案、文獻(xiàn)[17]方案和本文方案；在搜索階段，各方案通信量由大到小依次為文獻(xiàn)[17]方案、本文方案和文獻(xiàn)[18]方案;在解密階段，文獻(xiàn)[18]方案中CSP進(jìn)行部分解密后數(shù)據(jù)用戶做剩余的解密工作,本文方案中TTP用盲化的私鑰進(jìn)行部分解密之后用戶只需要簡(jiǎn)單計(jì)算出密鑰值就能解密得到文件，本文方案的通信量開銷低于文獻(xiàn)[18]方案的。

6.4 數(shù)值實(shí)驗(yàn)分析

本文在硬件為3.10GHzCPU，6GBRAM,操作系統(tǒng)為L(zhǎng)inux的PC機(jī)上利用PBC(Pairing-BasedCryptography)雙線性對(duì)包和C語(yǔ)言進(jìn)行編程模擬實(shí)驗(yàn)。為了便于描述，假設(shè)屬性數(shù)量|Au|∈[10,60]，圖2a～圖2d給出了文獻(xiàn)[17，18]方案和本文方案在密鑰生成、加密、搜索和解密階段的運(yùn)行時(shí)間對(duì)比。由圖2a可知，密鑰生成時(shí)間隨著屬性個(gè)數(shù)的增加，文獻(xiàn)[17，18]方案中指數(shù)運(yùn)算和乘法運(yùn)算的運(yùn)行時(shí)間都比本文方案的多，所以在密鑰生成階段本文方案效率優(yōu)于文獻(xiàn)[17，18]方案的；由圖2b可知，在加密階段，隨著屬性個(gè)數(shù)的增加，通過固定300個(gè)關(guān)鍵詞對(duì)3個(gè)方案進(jìn)行比較，在實(shí)際的數(shù)值模擬中，文獻(xiàn)[17，18]的效率均低于本文方案的；由圖2c可知，本文方案與文獻(xiàn)[17，18]方案的時(shí)間相差不大，由于文獻(xiàn)[17]方案在搜索階段包含指數(shù)運(yùn)算、乘法運(yùn)算和配對(duì)運(yùn)算，文獻(xiàn)[18]方案與本文方案的計(jì)算量相近，故文獻(xiàn)[17]方案的效率最低，搜索階段文獻(xiàn)[18]方案的效率略高于本文方案的；在解密階段,由于文獻(xiàn)[17]方案成功驗(yàn)證搜索結(jié)果后，沒有對(duì)搜索結(jié)果的解密步驟,所以此階段只比較文獻(xiàn)[18]方案與本文方案，由圖2d可知，本文方案與文獻(xiàn)[18]方案的時(shí)間相差較小，文獻(xiàn)[18]方案在解密階段的哈希運(yùn)算的次數(shù)與文件個(gè)數(shù)相關(guān)，計(jì)算量消耗比本文方案的高，因此解密階段文獻(xiàn)[18]方案的效率略低于本文方案的。

7 結(jié)束語(yǔ)

本文提出了一個(gè)面向移動(dòng)終端的密文可驗(yàn)證屬性基可搜索加密方案。本文方案為了更好地實(shí)現(xiàn)數(shù)據(jù)用戶的細(xì)粒度訪問控制，使用密文策略屬性基加密系統(tǒng)為用戶進(jìn)行屬性頒發(fā)和授權(quán)，并且利用SE對(duì)存儲(chǔ)在云服務(wù)器上的密文數(shù)據(jù)進(jìn)行檢索，實(shí)現(xiàn)用戶對(duì)密文數(shù)據(jù)的安全共享。為了減少單關(guān)鍵詞搜索帶來(lái)的大量無(wú)關(guān)結(jié)果，本文方案使用了多關(guān)鍵詞可搜索方法。由于云服務(wù)器可能會(huì)篡改密文數(shù)據(jù)，本文方案引入了可信第三方對(duì)搜索結(jié)果進(jìn)行完整性驗(yàn)證。為了減輕數(shù)據(jù)用戶的計(jì)算負(fù)擔(dān)，請(qǐng)可信第三方幫助用戶完成部分解密工作。對(duì)于用戶可變的屬性，對(duì)相應(yīng)的屬性進(jìn)行了更新。最后對(duì)本文方案進(jìn)行了詳細(xì)的正確性證明、安全性證明與性能分析，數(shù)值實(shí)驗(yàn)分析結(jié)果表明：本文方案有較高的效率。